의료기관 개인정보보호 자율점검 안내

카페 게시글

의료,병원업무 스크랩 의료기관 개인정보보호 자율점검 안내

injuny3 추천 0 조회 414 15.11.13 18:06 댓글 0

게시글 본문내용

붙임

개인정보 관리실태 자율점검 체크리스트(개선계획)

구 분	내 용	비 고
소속 시도병원회		병원의 시도병원회 소속을 기재 (ex. 서울, 부산, 대구/경북, 인천, 광주/전남, 경기, 강원, 충북, 전북, 울산/경남, 제주)
병원명(개설허가)		병원명
허가병상		허가병상 수
부서
직위
연락처
담당자
완 료 (V표시)		양호포함, ‘개선필요’에 체크되고 ‘개선계획(완료예정기간)’이 모두 세워진 경우
미완료 (V표시)		‘개선필요’에 체크되고 ‘개선계획(완료예정기간)’이 한 항목이라도 세워지지 않은 경우

※ 개선이 필요한 경우는 “개선계획(완료예정기간)”을 빠짐없이 세워 주시기 바람

(업무상 특별히 많은 시간이나 비용이 요구되는 경우도 포함)

* 13개 분야 64개 항목

분야 (해당 법 조항)		세부 점검 항목	양호 (해당 없음)	개선 필요	개선계획 (완료예정기간)
제15조(개인정보의 수집?이용 동의)		1. 온?오프라인 회원가입 시 동의 여부
		2. 각종 게시판, 기타 개인정보 수집 시 동의 여부
		3. 정보주체 동의 시 필수 고지항목(4개*) 고지 여부
		4. 필수 고지항목(4개) 내용의 적정 여부 4개 : 목적, 항목, 보유 및 이용기간, 거부권 및 불이익
제16조(최소 수집 및 서비스 제공 거부)		5. 목적에 필요한 최소한의 개인정보 수집 여부
제16조(최소 수집 및 서비스 제공 거부)		6. 최소한 정보 외의 개인정보 수집에 대한 미동의를 이유로 재화 또는 서비스 제공 거부 여부
제17조(개인정보의 제공)		7. 제3자에게 개인정보 제공 시 정보주체 동의 여부
		8. 정보주체 동의 시 필수 고지항목(5개*) 고지 여부
		9. 필수 고지항목(5개) 내용의 적정 여부 5개 : 제공받는 자, 목적, 항목, 보유 및 이용기간, 거부권 및 불이익
제18조(개인정보의 이용?제공 제한)		10. 개인정보 수집 당시 정보주체의 이용?제공 동의 범위를 초과하여 이용?제공 여부
		11. 개인정보 제공 시 제공 목적범위 내 이용, 안전 조치 실시, 목적 달성 후 파기 등 요청 여부
		12. 동의에 의한 목적 외 이용, 목적 외 제3자 제공 시 필수 고지항목(5개*) 고지 여부
		13. 필수 고지항목(5개) 내용의 적정 여부 5개 : 제공받는 자, 목적, 항목, 보유 및 이용기간, 거부권 및 불이익
제21조(개인정보의 파기)		14. 보유기간 경과, 치리 목적(제공받은 경우 제공받은 목적) 달성 후 지체 없이 개인정보 파기 여부
		15. 개인정보 파기 시 복구 또는 재생되지 않도록 조치 여부
		16. 임시파일 및 출력자료 등에 대한 즉시 파기 여부
		17. 법령에 따라 보존할 경우 별도 분리 보관 여부
제22조(동의를 받는 방법)		18. 동의 사항의 구분 동의 여부
		19. 동의가 필요한 정보(필수정보)와 동의 없이 처리할 수 있는 정보(선택정보)의 구분 동의 여부
		20. 홍보 권유에 활용하기 위한 정보와 그렇지 않은 정보의 구분 동의 여부
		21. 선택항목 및 홍보 권유 정보의 미동의를 이유로 재화 또는 서비스 제공 거부 여부
제23조(민감정보의 처리 제한)		22. 사상, 정치, 건강 등 민감정보의 동의에 의한 수집 및 제공 시 구분 동의 여부
		23. 정보주체 동의 시 필수 고지항목(수집 4개, 제공 5개) 고지 여부
		24. 필수 고지항목(4개 또는 5개) 내용의 적정 여부
제24조(고유식별정보의 처리 제한)		25. 고유식별정보의 동의에 의한 수집 및 제공 시 구분 동의 여부 고유식별정보 : 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호
제24조(고유식별정보의 처리 제한)		26. 주민등록번호 외 회원가입 방법 제공 여부
제26조(업무위탁에 따른 처리 제한		27. 문서(계약서)에 필수 반영사항(6개) 포함 여부 6개 : 목적외 처리금지, 기술?관리적 보호조치, 목적?범위, 재위탁 제한, 접근제한 등 안전조치, 관리?감독사항
		28. 수탁자 공개 여부
		29. 수탁자에 대한 교육 실시 여부
		30. 처리현황 점검 등 수탁자 관리?감독 여부
제28조(개인정보취급자에 대한 감독)		31. 개인정보취급자에 대한 관리?감독(접근권한 관리, 통제 등 포함) 여부
		32. 개인정보취급자에 대한 보안서약서 징구 여부
		33. 개인정보취급자에 대한 정기적인 교육 실시 여부
제29조 (안전조치의무)	내부관리계획 수립?시행	34. 내부관리계획 수립?시행 여부
	내부관리계획 수립?시행	35. 내부관리계획의 필수 반영사항(4개) 포함 여부 4개 : 보호책임자 지정, 보호책임자/취급자의 역할?책임, 안전성 확보 조치, 취급자 교육
	접근권한 관리 및 접근 통제	36. 시스템에 대한 접근권한을 필요 최소한의 범위로 업무 담당자에 따라 차등 부여 여부
		37. 전보?퇴직 등 인사이동으로 취급자가 변경될 경우 접근권한 변경 또는 말소 여부
		38. 접근권한의 부여?변경?말소 내역의 기록관리 및 최소 3년간 보관 여부
		39. 취급자별로 개별 계정 발급 여부
		40. 안전한 비밀번호 작성규칙의 수립?적용 여부
		41. 불법적 접근 및 침해사고 방지를 위한 시스템 설치?운영 여부
		42. 외부에서 정보통신망을 통한 접속 시 가상사설망, 전용선 등 안전한 접속수단 제공 여부
		43. P2P, 웹하드 등 비인가 프로그램, 공유 설정 등에 대한 접속 차단 실시 여부
		44. 인터넷 홈페이지의 개인정보 노출 방지를 위한 보안조치 실시 여부
제29조 (안전조치의무)	개인정보의 암호화	45. 개인정보 암호화계획 수립?시행 여부
		46. 비밀번호의 외부 송?수신 시 암호화 조치 여부
		47. 비밀번호의 내부 저장 시 일방향 암호화 조치 여부
		48. 바이오정보의 외부 송?수신 시 암호화 조치 여부
		49. 바이오정보의 내부 저장 시 암호화 조치 여부
		50. 고유식별정보의 외부 송?수신 시 암호화 조치 여부
		51. 고유식별정보의 인터넷과 내부망의 중간지점(DMZ) 저장 시 암호화 조치 여부
		52. 고유식별정보의 내부 저장 시 암호화 조치 또는 그에 상응하는 조치 적용 여부
	접속기록의 보관	53. 취급자의 접속기록을 최소 6개월 이상 보관?관리 여부
		54. 접속기록의 항목(4개)이 적정한지 여부 4개 : ID, 날짜 및 시간, 접속자 IP 주소, 수행 업무(열람, 수정, 삭제, 인쇄, 입력 등)
		55. 접속기록이 위?변조 및 도난, 분실되지 않도록 접속기록의 안전하게 보관 여부
	보안프로그램 설치?운영	56. 보안 프로그램의 설치?운영 여부
	보안프로그램 설치?운영	57. 보안 프로그램의 자동 업데이트 또는 일 1회 이상 업데이트 실시 여부
	물리적 접근 방지	58. 전산실, 자료보관실 등 물리적 보관 장소에 대한 출입통제 절차 수립?운영 여부
	물리적 접근 방지	59. 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소 보관 여부
제30조(개인정보 처리방침의 수립?공개)		60. 개인정보 처리방침의 수립 여부
		61. 개인정보 처리방침에 필수 항목(8개) 포함 여부 8개 : 처리 목적, 처리 및 보유기간, 제3자 제공 사항(해당 시), 위탁 사항(해당 시), 정보주체 권리?의무 및 행사 방법, 처리항목, 파기 사항, 안전성 확보 조치 사항
		62. 개인정보 처리방침의 홈페이지 등 공개 여부
제31조(개인정보 보호책임자의 지정)		63. 개인정보 보호책임자 지정 여부
제31조(개인정보 보호책임자의 지정)		64. 개인정보 보호책임자의 업무 범위, 자격요건 등 적정 여부

회신처 : 팩스 02-705-9259

이메일 : cho@kha.or.kr

문의 : 02) 705 - 9235 ~ 9238

----------

의료기관 개인정보보호 자율점검 안내
부서명	전산정보팀	전화번호	02-705-9238	이메일	cho@kha.or.kr
작성자	조한의	등록일	2015-09-04	조회수	826
첨 부	개인정보보호_가이드라인(의료기관)201502_1.hwp 전산정보_제2015-111_1_의료기관_개인정보보호_자율점검_안내.pdf 개인정보관리실태자율점검체크리스트(개선계획)150202_1_1.hwp
내 용	1. 귀 원의 무궁한 발전을 기원합니다. 2.『개인정보범죄 정부합동수사단』의 환자 진료·처방정보 불법 수집·판매 사 범 기소 사건발표(2015.7.23)와 관련하여『보건복지부』는 의료기관·약국의 환자 개인 정보 보호대책을 발표하였습니다. 3. 이에 따라, 개인정보보호법 시행 이후 법 준수와 환자정보 유출사고를 방지 를 위한 준비가 필요하다고 판단되는 회원병원은 의료기관 개인정보보호 가이드라인을 참고하여 개인정보관리실태 자율점검 체크리스트(행정자치부)에 따라 자율적으로 점검 을 진행하여 주시기 바랍니다. 가. 자율점검 체크리스트 다운로드 ○ 대한병원협회(www.kha.or.kr) - 협회업무 > 전산정보팀 > "행정자치부 개인정보 합동점검 안내 및 자율 점검 개선계획"(붙임:개인정보관리실태자율점검체크리스트) 나. 의료기관 개인정보보호 가이드라인 다운로드 ○ 대한병원협회(www.kha.or.kr) - 협회업무 > 전산정보팀 > "의료기관 개인정보보호 가이드라인 (2015.02.03)" ※ 문의 : 전산정보팀 02-705-9235,8 끝.